}

VMware Security Summit 2022 - 株式会社東芝 事例講演レポート

EDR導入によるエンドポイント強化で、サイバーレジリエンスの向上を推進

2022年5月31日に赤坂インターシティコンファレンスとオンラインで同時開催された「VMware Security Summit 2022」。ゼロトラスト・セキュリティを実現するための知見が交わされた本イベントから、株式会社東芝の事例講演を紹介する。

小島 健司 氏

株式会社東芝
サイバーセキュリティ技術センター
セキュリティ運用推進部
部長

持続可能な社会の実現を目指して、
サイバーレジリエンスに注力

持続可能な社会の実現を目指し、カーボンニュートラルやインフラレジリエンスといった社会課題を、デジタル技術を活用して解決するという技術戦略を掲げる東芝グループ。

「特に重要となるのがセキュリティであり、サイバーレジリエンスとして取り組みを進めているところです」と小島氏は言う。

そんな東芝グループのサイバーセキュリティビジョンは、セキュリティライフタイムプロテクションにより「持続可能な社会」を実現することであり、自社の情報システムや工場・設備などの生産システムだけでなく、顧客に提供する製品やサービス、さらには顧客やパートナーといったステークホルダーの環境のセキュリティ強化も目指している。

今回の講演では、そのなかでもエンドポイントのセキュリティに特にフォーカスして語られた。

脅威の変化に対応すべくゼロトラストシフトを推進

東芝グループでは、CISOのもとにサイバーセキュリティマネジメント体制(CSIRT/PSRIT)を構築しており、自社のインフラや資産を守るためのガバナンスを効かせ、監視・検知、対応・復旧といったオペレーションを行っている。なかでもセキュリティリスクの検知・対応の迅速性および正確性の向上によるオペレーションの高度化に注力。そこでVMwareのEDRソリューションである「VMware Carbon Black Cloud」を活用している。

オペレーションと合わせて自社のインフラや資産を守るための人材育成も行っており、セキュリティ人材の役割を定義して、それぞれに合わせた教育プログラムを提供。所定レベルに達していることをCISOが評価、認定している。

「サイバー攻撃を想定した対応訓練も盛んに行っており、インシデントの発生を模擬し、社内関係者の情報伝達網を再確認するという取り組みを行っています」と、小島氏は話す。

一方、サイバー攻撃は働き方や社会環境の変化に対して機敏に適応してくるものだ。そしてDXやCPS、働き方改革の進展といったビジネスの環境変化により、守るべき資産が境界の外へと移っていることから、従来のように境界型防御だけでは守りきれないようになっている。

「製造業では工場インフラの環境も変化していて、製造機器のリモートメンテナンスや在宅からのアクセス、自動化や最適化が進んだことで、従来は閉じられていた工場も、いまや外部との境界が曖昧になってきています」(小島氏)

こうした境界型防御の限界は、東芝グループにおいてもゼロトラストへの早期転換を促すこととなったのである。

「ゼロトラストへと一気に移行するのは難しく、徐々に変更していく必要があると考えており、ゼロトラストシフトというモデルを掲げています。必要性の高いところから部分的にゼロトラスト化を進め、境界の外へ切り出し、最終的にはひとつのゲートウェイでまとめるというものです。そのなかでエンドポイントの強化が非常に重要だと感じており、その一環としてEDRを導入し活用を進めています」(小島氏)

EDR導入で実現した東芝の“ゼロトラスト”とは

東芝におけるEDR導入検討時の課題としては、「標的型攻撃」「ファイルレスマルウェア」「ランサムウェア」など自社を狙う新たな脅威の台頭による従来型検知の限界や、脅威や環境の複雑化に対する調査能力の欠如、インシデント検知・対応の遅れによる影響拡大への懸念などが挙がっていた。

このような課題の解決に向けて東芝グループではSOCによる端末の一元監視、ログ集約とインシデントの早期発見、対応を目指し、2019年夏にVMware Carbon Black Cloudの導入を決定。2019年11月から2020年3月にかけて国内端末へと展開し、2020年には海外端末へも展開していった。現在では、東芝グループ全体で13万台の端末にVMware Carbon Black Cloudが導入されている。

グローバルでVMware Carbon Black Cloudを導入したことにより、これまで確認できた効果としてまず挙げられるのが、サイバー攻撃による損失の低減だ。これは、「ランサムウェア」や「ファイルレスマルウェア」など新たな脅威への対処が可能になったことで、早期検知・早期対応による被害拡大を防止できるようになったためである。

次に、インシデント対応コストの低減も図ることができた。EDRの調査・対応機能を活用することで、迅速なインシデント対応が可能になるとともに、端末ログを未然取得しておくことによる対応の迅速化がその理由として挙げられる。

そしてもうひとつの大きな効果が、管理コストの低減である。端末の分散管理、個別対応は高コストであるとともに、対応の遅れを招いていたが、EDR導入によりグローバルに分散する端末の一元管理・監視が可能になったことで管理コストを大幅に低減できたのである。

「以前は、エンドユーザーの端末で何かの動きを検知すると、被害が拡大しないようまずはケーブルを抜いてもらうことを徹底し、端末で情報収集用のツールを実行したうえでログを送ってもらい、さらには対応内容をメールなどで報告してもらう必要がありました。そして、セキュリティ部門でログの解析や状況の分析、端末保有者への対応指示を行い、問題がなければ再接続をして業務復帰するという流れだったため、端末保有者に非常に多くの負荷がかかっていました。それがEDR導入後は、SOC/CSIRTで検知を行い、リモートで端末を隔離して端末保有者に報告し、インシデントの調査、対応もリモートで実施したうえで最終的な脅威確認、端末隔離解除を行うといったように変わりました。これにより端末保有者の負担が減り、スピーディーに対応が行えるようになりました」(小島氏)

現在、東芝グループではVMware Carbon Black Cloudの豊富な機能を活用したプロアクティブな脅威抑止活動の強化を進めている。それは不正ファイル検索や、個別アプリケーション利用確認、設定状況確認などであり、得られた情報についてはダッシュボードによる可視化も進めていく予定である。

さらに、脅威インテリジェンスから取得した攻撃者の戦術やテクニックを使った脅威ハンティング活用へも利用を拡大していく計画である。

「EDRの機能活用によりサイバーレジリエンスの向上が進んでいるのを実感しています。インシデントの検知や対応といったリアクティブ目的での活用だけでなく、ITハイジーンによって脅威を未然に防ぎ、インシデント発生前の状態を長く保つためのプロアクティブな取り組みも推進しているところです」と小島氏は述べ、講演を締めくくった。

EDR導入ではステップ・バイ・ステップのアプローチがオススメ

講演後は、ヴイエムウェア株式会社 セキュリティ事業部 SE ディレクターの奥野木 敦が、小島氏にいくつかの質問を投げかけた。

(左から)ヴイエムウェア株式会社 奥野木 敦、株式会社東芝 小島 健司氏

奥野木:ご講演、誠にありがとうございました。まず、導入時の課題についてお伺いしたいと思います。エージェントの導入の難しさを伺うことも多いなか、東芝様は非常に短期間で展開されたとのことですが、苦労された点はございましたか。

小島氏:技術面では、ADを活用した自動配布と手動配布を併用して展開を進めたのですが、海外ではネットワーク帯域の狭い拠点も多いため、ネットワークトラフィックなども確認しながら展開していきました。とはいえ、工場のサーバなど展開が難しいところもあるので、そのようなところには手動配布を採用し、大きなトラブルなく進めることができました。また、ユーザーへの説明にも気を配り、EDRとはどのようなものか丁寧に説明し理解を得るようにしました。その一方で、セキュリティ施策ということもありトップダウンで推進していきました。

奥野木:EDRは運用が難しいと言われていますが、東芝様ではどのように運用されていらっしゃるのでしょうか。

小島氏:当初は私たちもEDRの知見が十分ではなかったため、VMwareのプロフェッショナルサービスなどを活用してスキルを高めることができたと感じています。また、一気にすべてを進めようとするとどうしてもトラブルが起こりがちですので、段階的に強化を進めてきました。そして、ブロックポリシーなどの施策を進める際には業務に影響がでないか入念に確認をしたうえで実施しました。

奥野木:御社では海外拠点や子会社をどのようなスキームで管理されているのでしょうか。

小島氏:東芝グループの場合、基本的にはセキュリティ施策の展開は事業軸で進めています。統制はとれるのですが、施策の展開に時間がかかったり、施策が浸透しきっておらず海外の子会社でインシデントが発生したりということがありました。EDRを導入することで本社サイドがグループ会社の端末の状況を把握し、インシデントの検知・対応を行えるようになりましたので、スピーディーな対応が可能になりました。

奥野木:EDRの導入を検討している方へ、アドバイスを送るとすればどのような点が挙げられるでしょうか。

小島氏:EDRは非常に豊富な機能を備えているため、一度にすべての機能を使いこなすのは難しいと思います。自社のリスクを正しく捉え、それに必要な機能を順番に強化していくというような、ステップ・バイ・ステップのアプローチが非常に重要となるのではないでしょうか。

奥野木:ありがとうございました。

この講演のオンデマンド配信


VMware Security Summit 2022 - お客様導入事例

サイバーレジリエンス向上のためのエンドポイント強化

オンデマンド配信を視聴する

この記事のPDFをダウンロード

VMware Security Summit 2022 - 事例講演レポート

EDR導入によるエンドポイント強化で、サイバーレジリエンスの向上を推進

ダウンロードはこちら


TOP